# AN0300 — Analytic 0300 ## Descrição Esta analítica correlaciona logs do Mail.app com atividade de Safari/Chrome, detectando a cadeia: links de e-mail → Safari/Chrome acessando domínios recém-registrados ou lookalikes → execução inesperada de osascript ou Terminal. A telemetria inclui logs unificados do macOS (Unified Log) para atividade de Mail.app e navegadores, eventos do Endpoint Security Framework para criação de processos filho anômalos. A detecção é relevante pois spearphishing via link no macOS frequentemente abusa do osascript para executar código malicioso, técnica usada em campanhas APT direcionadas a jornalistas, dissidentes e executivos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0300](https://attack.mitre.org/detectionstrategies/DET0107#AN0300)*